CMMC 2.0 : de quoi s'agit-il, qui en a besoin et comment les MSP peuvent aider leurs clients à s'y conformer

La certification CMMC (Cybersecurity Maturity Model Certification) est le cadre mis en place par le ministère américain de la Défense pour garantir que la base industrielle de défense, ainsi que les prestataires et sous-traitants qui composent la chaîne d'approvisionnement du ministère, maintiennent un niveau de cybersécurité adéquat afin de protéger les informations sensibles relatives à la défense.

Selon le rapport Kaseya « State of the MSP » de 2026, 71 % des MSP ont fait état d'une croissance de leur chiffre d'affaires lié à la cybersécurité par rapport à l'année précédente. La conformité CMMC est en passe de devenir la clé d'accès au marché des contrats de défense, et avec 350 000 fournisseurs recensés par le ministère américain de la Défense (DoD) dans la base industrielle de défense, le marché potentiel pour les MSP proposant des services de préparation à la certification CMMC est considérable.

La mise en œuvre de la phase 1 a débuté le 10 novembre 2025. La phase 2, qui rend la certification C3PAO obligatoire pour un ensemble plus large de contrats, débutera le 10 novembre 2026. Les organisations qui ne seront pas certifiées au moment de la publication d'un appel d'offres relevant de la phase 2 ne pourront pas soumissionner pour ce marché. La préparation prend généralement entre 9 et 12 mois. C'est maintenant que les clients qui doivent encore agir doivent le faire.

Ce guide présente les exigences de la norme CMMC 2.0, les entités concernées, ainsi que les éléments que les MSP doivent connaître pour aider leurs clients, et eux-mêmes, à atteindre et à maintenir la conformité.

Qu'est-ce que le CMMC et pourquoi existe-t-il ?

Le CMMC a été créé pour répondre à un problème spécifique : des informations sensibles relevant de la défense, notamment les informations relatives aux contrats fédéraux (FCI) et les informations non classifiées mais soumises à des restrictions d'accès (CUI), étaient traitées par des sous-traitants du ministère de la Défense (DoD) sans que des contrôles de cybersécurité adéquats ne soient mis en place. L'exigence existante (DFARS 252.204-7012, qui imposait la conformité à la norme NIST SP 800-171) reposait sur une auto-attestation. Les sous-traitants certifiaient leur conformité, souvent de manière inexacte, et les informations sensibles restaient exposées à des risques.

Le CMMC passe d'un modèle d'auto-certification à un modèle de conformité vérifiée. Les prestataires doivent soit procéder à une auto-certification (contrats de niveau 1 et certains contrats de niveau 2), soit se soumettre à une évaluation réalisée par un organisme tiers certifié (C3PAO) ou par des évaluateurs gouvernementaux (niveau 3), en fonction de la sensibilité des informations qu'ils traitent et du niveau CMMC requis par le contrat.

La règle définitive a été codifiée dans le titre 32 du CFR, partie 170, et est entrée en vigueur le 16 décembre 2024. La règle relative aux marchés publics qui intègre le CMMC dans les contrats du ministère de la Défense par le biais du DFARS est entrée en vigueur le 10 novembre 2025.

CMMC 2.0 : ce qui a changé par rapport à la version 1.0

La version 1.0 du CMMC, annoncée en 2020, comportait cinq niveaux de maturité et présentait une grande complexité. À la suite des commentaires formulés par le secteur, le ministère américain de la Défense a publié la version 2.0 du CMMC en 2021, qui a simplifié le cadre de quatre manières significatives.

Trois niveaux au lieu de cinq. La norme CMMC 2.0 regroupe les niveaux en trois catégories correspondant aux niveaux de risque réels de la chaîne d'approvisionnement de la défense : « Fondamental », « Avancé » et « Expert ».

Conformité à la norme NIST SP 800-171 au niveau 2. Le niveau 2 correspond exactement aux 110 pratiques de la norme NIST SP 800-171, à laquelle la plupart des sous-traitants du secteur de la défense se conformaient déjà. Cela permet d'éviter les doublons et facilite la mise en conformité pour les organisations disposant déjà de programmes NIST.

L'auto-certification est autorisée pour certains contrats de niveau 2. Les acquisitions prioritaires (contrats portant sur les informations classifiées les plus sensibles) nécessitent une évaluation par un organisme tiers de type C3PAO. Les acquisitions non prioritaires peuvent faire l'objet d'une auto-certification annuelle pendant la phase de déploiement progressif. Le niveau 1 fait toujours l'objet d'une auto-certification.

Les plans d'action et les étapes clés (POA&M) sont autorisés. Le cadre 2.0 autorise les POA&M pour la correction limitée et dans un délai déterminé des lacunes identifiées, offrant ainsi une voie vers l'éligibilité au contrat tout en œuvrant à la conformité totale.

Les trois niveaux du CMMC

Niveau 1, Fondamental (15 pratiques). S'applique aux organisations traitant des informations relatives aux contrats fédéraux (FCI), mais pas des informations classifiées (CUI). Nécessite la mise en œuvre des 15 pratiques de base en matière de cyberhygiène prévues par la clause 52.204-21 du FAR. Auto-attestation annuelle par un haut responsable de l'entreprise, les résultats étant soumis dans le système de gestion des risques liés à la performance des fournisseurs (SPRS). Aucune évaluation par un tiers n'est requise. Aucun POA&M n'est autorisé à ce niveau ; les 15 exigences doivent être pleinement satisfaites.

Remarque : les documents CMMC antérieurs faisaient référence à 17 pratiques de niveau 1. La version finale de la règle 32 CFR Partie 170, qui entrera en vigueur en décembre 2024, a regroupé trois exigences en matière de protection physique en une seule, portant ainsi le nombre officiel à 15.

Niveau 2, Avancé (110 mesures). S'applique aux organisations traitant des informations non classifiées mais soumises à des restrictions d'accès (CUI). Nécessite la mise en œuvre intégrale de la norme NIST SP 800-171 Rev 2. Les marchés prioritaires doivent faire l'objet d'une évaluation triennale par un organisme d'évaluation externe (C3PAO). Les marchés non prioritaires peuvent donner lieu à une auto-attestation annuelle. Le niveau 2 est celui que doivent atteindre la plupart des sous-traitants du secteur de la défense souhaitant conserver leur éligibilité aux marchés du Département de la Défense (DoD).

Niveau 3, Expert (plus de 130 pratiques). S'applique aux organisations traitant les informations classifiées les plus sensibles (CUI) dans le cadre de programmes critiques. Nécessite la mise en œuvre intégrale de la norme NIST SP 800-171 ainsi que de certaines pratiques de la norme NIST SP 800-172. Évaluation réalisée par des évaluateurs gouvernementaux de la DCSA (DIBCAC). S'applique à un petit sous-ensemble de programmes hautement sensibles.

Qui doit se conformer à la norme CMMC ?

La norme CMMC s'applique à toute organisation, qu'il s'agisse d'un maître d'œuvre ou d'un sous-traitant, qui traite des informations classifiées (FCI) ou des informations sensibles (CUI) dans le cadre de contrats avec le ministère de la Défense. Son champ d'application est plus large que ne le pensent initialement de nombreuses organisations.

Les sous-traitants directs du ministère américain de la Défense (DoD). Les entreprises ayant conclu des contrats principaux avec le DoD. La plupart d'entre elles devront obtenir une habilitation de niveau 1 ou de niveau 2, selon qu'elles traitent ou non des informations classifiées (CUI).

Sous-traitants. Toute entité de la chaîne d'approvisionnement qui traite des informations FCI ou CUI. La transmission des exigences est obligatoire : les maîtres d'œuvre doivent s'assurer que leurs sous-traitants respectent le niveau CMMC requis par le contrat. Une petite société d'ingénierie agissant en tant que sous-traitant de deuxième rang dans le cadre d'un programme de défense peut être amenée à traiter des informations CUI et être soumise au niveau 2.

Fournisseurs de services gérés. Si un fournisseur de services gérés(MSP) traite, stocke ou transmet des informations classifiées (CUI) pour le compte d’un client sous-traitant du secteur de la défense, ou si ses systèmes traitent des CUI dans le cadre de la prestation de services, ce MSP fait partie du périmètre de protection des CUI et peut lui-même être soumis aux exigences du CMMC. Il s’agit là de la conséquence la plus souvent négligée pour les MSP.

L'obligation de répercussion est l'élément le plus souvent négligé. Un MSP qui n'a jamais vérifié si la prestation de ses services entraîne une obligation de traitement des informations classifiées (CUI) opère avec un risque non identifié, tout comme les maîtres d'œuvre dont la conformité en dépend.

Ce qu'exige réellement le niveau 2 du CMMC

Les 110 mesures de niveau 2, réparties dans 14 domaines, constituent un programme de sécurité complet. Les domaines les plus exigeants sur le plan opérationnel pour les PME et les entreprises du secteur de la défense qui partent d'un niveau de référence faible sont les suivants :

Contrôle d'accès (CA), 22 mesures. Authentification multifactorielle (MFA) pour tous les comptes, principe du moindre privilège, accès contrôlé en fonction du besoin d'en connaître, contrôles de durée de session, restrictions d'accès à distance et utilisation contrôlée des appareils mobiles.

Gestion de la configuration (CM), 9 pratiques. Configuration de référence documentée, surveillance et alerte en cas de modification de la configuration, restriction de l'installation de logiciels non autorisés.

Réponse aux incidents (IR), 3 pratiques. Plan de réponse aux incidents documenté et testé, capacité à contenir les incidents et à rétablir la situation, et obligation de signaler les incidents au ministère de la Défense.

Évaluation des risques (ER), 3 pratiques : évaluations périodiques des risques, correction des vulnérabilités identifiées et participation au partage d'informations sur les menaces.

Protection des systèmes et des communications (SC), 16 pratiques. Segmentation du réseau isolant les informations classifiées (CUI) des systèmes non classifiés, chiffrement des informations classifiées (CUI) en transit et au repos, gestion des interfaces et protection des périmètres.

Intégrité des systèmes et des informations (SI), 7 pratiques. Protection contre les logiciels malveillants avec mises à jour régulières, surveillance des alertes de sécurité, gestion des correctifs pour les systèmes d'exploitation et les applications, et surveillance des systèmes à la recherche de comportements anormaux.

L'ampleur du niveau 2 en fait un projet de grande envergure pour les organisations partant d'un niveau de référence faible. Le point de départ consiste à réaliser une analyse des écarts par rapport à la norme NIST SP 800-171, afin d'identifier lesquelles des 110 pratiques sont déjà mises en œuvre, lesquelles le sont partiellement et lesquelles ne sont pas prises en compte. En moyenne, un sous-traitant du secteur de la défense a besoin de 9 à 12 mois pour se préparer à l'évaluation à compter du moment où celle-ci débute officiellement.

Les MSP et le CMMC : les complications liées à la chaîne d'approvisionnement

Les MSP occupent une place complexe au sein de l'écosystème CMMC. Si un MSP accède à des informations classifiées (CUI), les traite ou les stocke dans le cadre de la prestation de services à un sous-traitant du secteur de la défense, il peut être amené à satisfaire aux exigences du niveau 2 pour son propre environnement. Le critère déterminant est de savoir si les systèmes et le personnel du MSP entrent en contact avec des informations classifiées (CUI) lors de la prestation managed services.

Prenons un exemple concret : un fournisseur de services de gestion (MSP) qui assure la surveillance et la gestion à distance pour un sous-traitant du secteur de la défense, avec des agents RMM déployés sur des terminaux traitant des informations classifiées (CUI), dispose de systèmes qui peuvent être considérés comme faisant partie du périmètre des informations classifiées. Le MSP doit déterminer si cela engendre une obligation CMMC pour son propre environnement.

Les maîtres d'œuvre intègrent de plus en plus souvent des clauses de répercussion CMMC dans les contrats de services MSP. L'ignorance de la portée de ces clauses ne constitue pas un moyen de défense, et une attestation erronée expose à des poursuites judiciaires en vertu de la loi sur les fausses déclarations (False Claims Act).

Les MSP qui parviennent à se mettre en conformité avec la norme CMMC pour leurs propres environnements acquièrent un avantage concurrentiel significatif : ils deviennent le partenaire informatique privilégié des sous-traitants du secteur de la défense qui doivent démontrer que leur chaîne d'approvisionnement en MSP ne présente pas de lacunes en matière de conformité. Les MSP prêts pour la norme CMMC peuvent accéder à un segment de marché que les MSP non conformes ne peuvent pas desservir, et peuvent fixer leurs tarifs en conséquence.

Se mettre en conformité avec la norme CMMC : une approche pratique

Étape 1 : Définir le périmètre de l'environnement CUI. Identifier l'ensemble des systèmes, du personnel et des processus qui traitent des informations CUI. Le périmètre CUI définit ce qui doit être mis en conformité. Réduire ce périmètre en confinant le traitement des informations CUI à une zone délimitée allège considérablement la charge liée à la mise en conformité.

Étape 2 : Réaliser une analyse des écarts. Évaluer la mise en œuvre actuelle par rapport aux 110 pratiques de la norme NIST SP 800-171. Un plan de sécurité du système (SSP) rend compte de l'état actuel de conformité. Un plan d'action et de jalons (POA&M) répertorie les écarts identifiés et les délais de correction. Ces deux documents sont des éléments obligatoires pour l'obtention de la certification de niveau 2.

Étape 3 : Combler les lacunes. Commencez par combler les lacunes les plus critiques, notamment celles liées au contrôle d'accès, à la réponse aux incidents et à l'intégrité des systèmes et des informations, qui correspondent aux vecteurs d'attaque les plus probables. Les outils automatisés permettent de traiter simultanément un grand nombre de contrôles : la gestion des correctifs répond aux exigences en matière d'intégrité des systèmes et des informations, le déploiement de l'authentification multifactorielle (MFA) répond aux exigences en matière de contrôle d'accès, l'EDR couvre les exigences relatives aux logiciels malveillants et à la surveillance de l'intégrité des systèmes et des informations, et le SIEM répond aux exigences en matière de journalisation d'audit dans plusieurs domaines.

Étape 4 : Choisissez la procédure d'évaluation. Déterminez si l'auto-certification de niveau 2 est autorisée pour le contrat en question ou si une évaluation par un organisme d'évaluation de la conformité (C3PAO) est requise. À compter du 10 novembre 2026, la certification C3PAO deviendra obligatoire pour les appels d'offres de niveau 2 concernés. Préparez les justificatifs de conformité : le SSP, le POA&M et les preuves techniques issues des outils de sécurité démontrant la mise en œuvre des contrôles.

Étape 5 : Maintenir la conformité. La certification CMMC n'est pas une certification ponctuelle. Les auto-déclarations annuelles ou les évaluations triennales menées par un organisme d'évaluation externe (C3PAO) exigent un maintien continu de la conformité : surveillance permanente, gestion des correctifs, tests des plans d'intervention en cas d'incident et production de preuves entre les évaluations.

Comment Compliance Manager GRC le CMMC

Compliance Manager GRC un parcours structuré vers la conformité CMMC qui tient compte à la fois de la charge liée à l'évaluation et des exigences en matière de preuves à fournir de manière continue.

La plateforme comprend un modèle d'évaluation CMMC de niveau 2 spécialement conçu, conforme aux 110 exigences de la norme NIST SP 800-171 Rev. 2, y compris la fiche d'évaluation des risques du DoD. Le SSP et le POA&M, deux documents de certification obligatoires, sont générés et suivis au sein de la plateforme. À mesure que les lacunes sont comblées, des preuves sont enregistrées pour chaque contrôle.

L'intégration directe avec VSA et Datto RMM permet d'importer directement dans le Compliance Manager GRC les données techniques relatives à la conformité des correctifs, à l'état des terminaux et à la configuration, réduisant ainsi la charge de travail manuelle liée à la documentation de la mise en œuvre des contrôles. Datto EDR fournit des preuves concernant la protection contre les logiciels malveillants et les contrôles de surveillance du système. IT Glue transfère automatiquement les rapports de conformité finalisés vers la documentation de chaque client, garantissant ainsi la mise à jour des preuves prêtes pour l'audit entre deux évaluations.

Pour les MSP qui proposent la préparation à la certification CMMC comme service, l'architecture multi-clients Compliance Manager GRCpermet de gérer les évaluations de plusieurs clients sous-traitants du secteur de la défense à partir d'une seule console.

Découvrez Compliance Manager GRC le CMMC